1.審計支柱的目的和要素

2.制造商需要提供的文件

3.ADS安全評估

3.4 安全概念和制造商對安全概念的驗證

制造商應(yīng)提供一個安全案例，確認并提供證據(jù)證明ADS對ADS車輛用戶和其他道路使用者沒有不合理的風(fēng)險。安全案例的一部分是安全概念（功能安全、預(yù)期功能安全、信息安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等），它描述了ADS設(shè)計中采用的措施，以實現(xiàn)避免功能和操作安全方面的不合理風(fēng)險的目標。除了這個描述性檔留之外，安全案例還包括一個有證據(jù)支持的結(jié)構(gòu)化演示，包括驗證測試，證明ADS將沒有不合理的風(fēng)險。關(guān)于ADS中使用的軟件，應(yīng)解釋概要架構(gòu)，并確定使用的設(shè)計方法和工具。制造商應(yīng)展示ADS功能是如何在設(shè)計和開發(fā)過程中實現(xiàn)和檢查的證據(jù)。

安全案例的安全概念要素應(yīng)解釋ADS中內(nèi)置的設(shè)計條款，以確保功能和操作安全。ADS中可能的設(shè)計條款包括：

（a）使用部分功能的后備操作（或故障安全）；

（b）使用單獨系統(tǒng)的冗余；

（c）ADS診斷系統(tǒng)可識別的潛在故障清單；

（d）取消部分或全部自動駕駛功能。

如果所選方案為在某些故障條件下（例如嚴重故障）采用部分功能的后備操作模式，則應(yīng)說明導(dǎo)致使用部分功能的所有條件（例如故障列表）。應(yīng)定義由此產(chǎn)生的ADS行為和能力（例如立即實現(xiàn)最小風(fēng)險條件）以及向駕駛員/遠程監(jiān)控中心發(fā)出的警告策略（如果適用）。

如果所選方案為第二種（冗余備份）方式來實現(xiàn)動態(tài)駕駛?cè)蝿?wù)的性能，需要解釋轉(zhuǎn)換機制的原則、冗余的邏輯和級別以及備份檢查功能，并定義備份有效性的最終限制。

如果所選方案為取消自動駕駛功能，需要按照相關(guān)規(guī)定執(zhí)行，并應(yīng)禁止與此功能相關(guān)的所有相應(yīng)輸出控制信號。

留檔應(yīng)附有分析，顯示ADS將如何減輕或避免可能影響ADS車輛使用者和其他道路使用者安全的危險（功能安全）。它應(yīng)顯示制造商將如何管理未知的危險情況（預(yù)期功能安全），以控制剩余風(fēng)險水平。所選擇的分析方法應(yīng)由制造商制定，并在上市前提供給相關(guān)當(dāng)局進行評估。

認證官/審計師應(yīng)對這些分析方法的應(yīng)用進行評估，包括：

（a）概念（車輛）層面的安全方法檢查；

（b）基于適合系統(tǒng)安全的危險/風(fēng)險分析。

（c）在ADS層面檢查安全方法，包括自上而下（從可能的危險到設(shè)計）和自下而上（從設(shè)計到可能的危險）。安全評估可以基于故障模式和影響分析（FMEA）、故障樹分析（FTA）和系統(tǒng)理論過程分析（STPA）或任何適合系統(tǒng)功能和操作安全的類似過程；

（d）應(yīng)對供應(yīng)商的驗證計劃和結(jié)果的留檔檢查，包括采用的驗收標準。它應(yīng)包括適合驗證的測試，例如，硬件在環(huán)（HIL）測試、車輛道路運行測試、與真實最終用戶的交互測試或任何其他適合驗證的測試。

審核員/評估員應(yīng)對物理測試（試驗場軌道測試和/或真實道路測試）的環(huán)境進行評估，并應(yīng)評估制造商提供的仿真工具鏈的留檔。審核員/評估員可應(yīng)對完整的集成工具進行測試，以評估仿真工具鏈的可信度。驗證的結(jié)果可以通過分析不同測試（仿真、軌道、真實）的覆蓋率并為各種指標設(shè)置最小覆蓋率閾值來評估。

有關(guān)仿真工具鏈的可信度評估的更多信息，詳見下文《仿真工具鏈的可信度評估》。

留檔確認在適用情況下至少涵蓋以下每一項：

（a）與其他車輛系統(tǒng)交互相關(guān)的問題（例如制動、轉(zhuǎn)向）；

（b）自動駕駛系統(tǒng)的故障以及由此產(chǎn)生的風(fēng)險緩解策略；

（c）當(dāng)一個系統(tǒng)可能因操作干擾而對ADS車輛使用者和其他道路使用者造成不合理的安全風(fēng)險時，ODD內(nèi)的情況，例如：

（d）確定ODD邊界內(nèi)的相關(guān)場景以及用于選擇場景和選擇驗證方法論和方法的方法論；

（e）執(zhí)行動態(tài)駕駛?cè)蝿?wù)（例如緊急機動）、與其他道路使用者的互動以及遵守交通規(guī)則的決策過程；

（f）可能影響車輛安全的網(wǎng)絡(luò)攻擊；

（g）合理可預(yù)見的駕駛員誤用（如果適用）（例如，使用駕駛員可用性識別系統(tǒng)和關(guān)于如何建立可用性標準的解釋），駕駛員的錯誤或誤解（如果適用）（例如，無意override）和故意篡改ADS。

安全案例應(yīng)包括支持實施安全概念的論據(jù)和證據(jù)，這些論據(jù)和證據(jù)應(yīng)易于理解和合乎邏輯，并涵蓋ADS的所有不同功能。留檔還應(yīng)證明驗證措施足夠穩(wěn)健（例如，作為所選驗證方法的一部分，對所選場景的合理覆蓋率），以證明安全性并已完成。

安全案例應(yīng)提供足夠的留檔，使監(jiān)管機構(gòu)能夠通過對案例的評估和可能的測試來核實制造商已成功實施適用于ADS的安全概念。建議留檔逐項列出車輛上正在監(jiān)測的參數(shù)（參見R160-EDR法規(guī)和DSSAD法規(guī)），并應(yīng)列出支持已滿足適用安全要求的證據(jù)。該留檔還應(yīng)描述為確保ADS性能受到環(huán)境條件（例如，氣候、溫度、灰塵進入、水進入、冰雪覆蓋等）的影響時不會對ADS用戶和其他道路使用者造成不合理風(fēng)險而采取的措施。

3.5 數(shù)據(jù)存儲系統(tǒng)

應(yīng)留檔說明：

（a）數(shù)據(jù)存儲位置和碰撞生存能力；

（b）車輛運行和事故期間記錄的數(shù)據(jù)清單；

（c）數(shù)據(jù)安全和防止未經(jīng)授權(quán)的訪問或使用；

（d）對數(shù)據(jù)進行授權(quán)訪問的手段和工具。

3.6 網(wǎng)絡(luò)安全和軟件更新管理

3.7 向相關(guān)者（所有者、用戶、運營商等）提供的信息

留檔應(yīng)有助于相關(guān)者了解系統(tǒng)的功能和操作，至少包括：